掘金 后端 ( ) • 2024-04-02 15:46
优雅实现接口权限校验控制:基于自定义注解、AOP与@ConditionalOnProperty配置开关的通用解决方案
开关 接口 权限 解决方案

在工作项目实战开发中,用户请求API接口的时候我们会用到一个叫做权限控制的东西,我们并不希望所有用户都能访问某个接口或者网页。这个时候需要做权限控制,指定用户的角色,看这个角色是否有访问权限,然后决定其是否有访问接口网站的权限。

网上有很多这种解决方案,用于这种场景,这些方案都离不开以下技术选型:

  • 自定义注解
  • AOP

image-20240401112427341

本文要解决的就是,用一个简单优雅的案例讲解这种方案,并且会在方案中加入一个控制权限功能的开关!改进这种方案!本文是我在工作项目中遇到的一种情况,这个功能开发完了,所以打算分享一下自己改进这种技术方案的做法,欢迎大家指正!

自定义注解

自定义注解的目的就是是用我们自己的注解去约束你是否有访问某个函数接口的权限,比如下面自己定义的注解 HasRole

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface HasRole {
    String key();
}

当我在某个函数API上面放上注解,这个函数的访问就被我们加了权限。

image-20240402100121653

AOP面向切面编程

谈到AOP,我曾经写过一篇博客总结过关于AOP的知识。大家可以看我的这篇博客 《AOP面向切面编程》

我们会将一些业务放到切面类的前置通知里,当用户访问服务的时候,会先执行前置通知里的业务,这个业务其实就是一个用户身份的校验判断与提示。

比如,当我们在接口请求测试的时候会出现如下响应:

image-20240402101411230

这个判断与提示其实就是在前置通知里完成的。

image-20240402142133954

在AOP里,我的业务逻辑是这么写的:


/**
 * @Description:
 * @return:
 * @Author: codelinghu
 * @Date: 2024/3/27
 */
@Component
@Aspect
@ConditionalOnProperty(prefix = "permission_switch", name = "enable", havingValue = "true")
public class AopConfig {

    //定义一个切点(通过注解)
    @Pointcut("@annotation(com.tongda.tdjobcard.config.annotation.HasPermission))")
    public void pointcut(){}

    private final Map<String, BaseXClient> connectMap;

    public AopConfig(Map<String, BaseXClient> connectMap) {
        this.connectMap = connectMap;
    }

    //前置通知,判断权限
    @Before("pointcut()")
    public void before(JoinPoint joinPoint){

        //获取到HttpServletRequest,ThreadLocal
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = servletRequestAttributes.getRequest();

        //获取用户请求的userID
        String userid = request.getHeader("userID");

        //获取当前请求的方法上的注解HasPermission中设置的角色
        MethodSignature signature = (MethodSignature)joinPoint.getSignature();
//        System.out.println("key="+signature.getName());

        BaseXClient client = connectMap.get("adminUser");
        if (client == null) {
            throw new BusinessException(ResultVoEnum.ACCOUNT_ERROR, null);
        }
        String s= PermissionDao.hasPermission(client, TdCalcConfig.DEFAULT_DBNAME,userid,signature.getName());

        //开始判断true or false
        // true放行,false拦住抛出异常
        if (!"true".equals(s)){
            throw new BusinessException(ResultVoEnum.NO_PERMISSION, null);
        }

    }

   
    }
}

其实到这里,我的功能已经实现了,接下来就是加一个配置文件的开关就行了~

@ConditionalOnProperty配置文件开关

说一下这个@ConditionalOnProperty注解哈,这个注解就是开启上面自定义注解的一个开关,在配置文件里进行开启或关闭。

image-20240402142306485

如果我设置enable为false,那么我的自定义注解就会失效,下面的代码就不会被执行:

@ConditionalOnProperty(prefix = "permission_switch", name = "enable", havingValue = "true")

image-20240402142519398

参考文献
相关内容
12999元买到真烫手:RTX 4090用户吐槽降低功耗仍存接口烧熔风险
RTX 4090离奇烧毁:16针接口两端都烧掉了!
RTX 4090离奇烧毁:甚至没有满功耗 16针接口两端都烧了
本来干活干的好好的,结果新来的后端这么卷,他说他五一放假不出去玩,他说他要继续写接口,要把新项目的接口写完,我替我前端的组员谢谢他啊[尬笑]
新华全媒+|脑机接口,接通未来多少可能?——来自2024中关村论坛年会的思考
中国工程院院士顾晓松回应每经:中国正在推动制定脑机接口行业标准
中国工程院院士顾晓松:中国正在推动制定脑机接口行业标准
达墨推出3.5寸HDD家庭式硬盘:自带Type-C接口 8TB仅799元
AMD最诡异新U:AM5接口的EPYC 4004 还有3D缓存
对接后端接口被挑战能力不行(吐槽贴,不会因为这个问题去挑战什么)